PumpkinFestival WalkThrough

PumpkinFestival-WalkThrough

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

靶机地址

  • https://www.vulnhub.com/entry/mission-pumpkin-v10-pumpkinfestival,329/

Description

Mission-Pumpkin v1.0 is a beginner level CTF series, created by keeping beginners in mind. This CTF series is for people who have basic knowledge of hacking tools and techniques but struggling to apply known tools. I believe that machines in this series will encourage beginners to learn the concepts by solving problems.

PumpkinFestival is Level 3 of series of 3 machines under Mission-Pumpkin v1.0. The Level 1 ends by accessing PumpkinGarden_Key file. Level 2 is about identifying pumpkin seeds.

In this level (Level 3) it is time for Pumpkin Festival, the goal is to reach root and access PumpkinFestival_Ticket and collect PumpkinTokens on the way.

知识点

  • 字符加解密

  • ssh密钥使用

  • wpscan

实验环境

环境仅供参考

  • VMware® Workstation 15 Pro - 15.0.0 build-10134415

  • kali : NAT 模式,192.168.141.134

  • 靶机 : NAT 模式

前期-信息收集

开始进行 IP 探活

排除法,去掉自己、宿主机、网关,这里 192.168.141.130 是靶机的地址。

扫描开放端口

似曾相识啊,ftp 允许匿名登录

获得了个 token,之后应该会用到,看看 web

网页源码中的 token

看下 robots.txt

在 http://192.168.141.130/store/track.txt 中可以找到一个 Tracking code 和一个邮箱

下一步在host中添加上面的邮箱域名

访问可以发现一个 wordpress 页面和 token

除了这个域名以外还有一个 token 路径,爆破出 http://192.168.141.130//tokens/token.txt

第四个 token

下面用 wpscan 尝试打 wordpress

发现2个用户和一个readme

  • http://pumpkins.local/readme.html

访问发现是个加密字符串,像是 base64,解出来是 base62

登录后发现一个 token

通过之前 wpscan 的扫描结果,还存在一个用户 admin ,最开始的网站主页最底下有个 Alohomora! 就是 admin 的密码

登录后发现2处 token

接下来爆破 FTP,主页中提到过一个用户名 harry

连接

最后下载到2个 token.txt 和 data.txt

data.txt 无法直接读,看下类型

压缩文件,解压

hex 解一下是SSH的密钥

使用这个 ssh 密钥登录

尝试提权

密码是之前用 base62 解出的 Ug0t!TrIpyJ

可以已 root 权限运行 alohomora 程序,但是并没有找到这个文件,那直接创建个可提权的程序即可

提权成功

注 : 该靶机起码有11个token, http://pumpkins.local/license.txt 下还有一个 PumpkinToken : 5ff346114d634a015ce413e1bc3d8d71

PreviousPumpkinGarden-WalkThroughNextPumpkinRaising WalkThrough